CN107733878B - 一种工业控制系统的安全防护装置 - Google Patents
一种工业控制系统的安全防护装置 Download PDFInfo
- Publication number
- CN107733878B CN107733878B CN201710903557.XA CN201710903557A CN107733878B CN 107733878 B CN107733878 B CN 107733878B CN 201710903557 A CN201710903557 A CN 201710903557A CN 107733878 B CN107733878 B CN 107733878B
- Authority
- CN
- China
- Prior art keywords
- data
- access
- data analysis
- firewall
- analysis module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于工业控制系统安全领域,具体涉及一种工业控制系统的安全防护装置,通过数据采集、数据分析评估、防火墙判断功能以及数据记录等功能,实现工业控制系统外部对内部的访问、内部对外部的访问以及内部对内部的访问监控,并且通过记录反馈,可随时更新数据,改进优化访问监控效率,本方法与搭载本方法的装置有效地保护了系统的安全运行,尤其涉及内部资料保密以及在工控系统受到全方位、多角度攻击的情况下能够维持系统正常工作。
Description
技术领域:
本发明属于工业控制系统安全领域,具体涉及一种工业控制系统的安全防护装置,尤其涉及内部资料保密以及在工控系统受到全方位、多角度攻击的情况下能够维持系统正常工作。
背景技术
工业控制系统(Industrial Control Systems,ICS)是由各种自动化控制组件和实时数据采集、监测过程的控制组件共同构成。近年来随着对工业控制系统提出越来越高的要求,现在的工控系统已经逐渐从孤立、封闭的系统走向开放的系统,开放、互联的工控系统给各个行业带来高效率和高收益。然而,一系列工控安全事件的发生表明工控系统正面临着严重的攻击威胁,工控系统的安全问题日益凸显。工控系统的安全机制不同于传统的信息安全领域,工控系统更加强调工控设备的实时性、可控性和可用性。因此,及时、准确地扫描出工控系统的漏洞,才能在这场工控系统安全的战争中,处于先机,立于不败之地。然而,传统的漏洞扫描技术大部分都基于互联网,并不能及时地发现工控系统的漏洞。而且,很多工控系统中的设备很脆弱,无法经受传统的漏洞扫描技术频繁扫描所带来的负担。而目前一些专利针对这些问题提出了一些解决方案,比如专利“多媒体联络中心处理的方法、系统及装置”(公开号:CN101159730A)中给出了一种详细的信息数据匹配途径,但是在这个解决方案里面,没有将一些非法的信息数据记录,这就会导致在下次出现同样的信息数据时候,又得重新去判断是否合法,使得系统处理速度大大降低。再如专利“工控系统的通信数据安全审计方法及装置”(公开号:CN106651183A),给出的方法合上述专利“多媒体联络中心处理的方法、系统及装置”(公开号:CN101159730A)基本类似,只是将每个步骤进行分成模块。现有的技术方案都只是给出了通过外部入侵系统内部时的处理方案。本发明为了更好地保护工控数据,在现有技术能够实现检测外部对内部的访问流量同时,还可以检测内部对外部的访问流量和内部对内部的访问流量。不仅实现了对外部黑客及恶意代码等的攻击起到防护作用,以保障工控系统内部资料的安全,而且可以防止工控系统内部的资料被泄密者主动泄密,以及防止系统内部出现自我破坏的情况发生。
发明内容
本发明的目的在于提供一种工业控制系统的安全防护装置,具体目的在于:其一,该设计能够实时感知、监测和处理外部对内部的访问流量、内部对外部的访问流量和内部对内部的访问流量,从而将整个工控系统全方位的监控起来。其二,该设计中提出的防护方法及装置能够将恶意入侵者挡在防火墙大门之外,纵使工控系统有很多漏洞,入侵者也无法通过防火墙进入系统漏洞实施攻击。
为实现上述发明目的,本发明采用的技术方案是设计一种全覆盖式监控和防护装置。其特征在于:该防护装置包括以下模块:①数据采集模块:该模块主要负责数据的采集;②数据分析模块;该模块是对访问数据的分析并记录,即承担数据分析中心的角色;该模块中嵌入snort入侵检测系统,具有很好的匹配性和可移植性。snort具有实时流量分析和日志巧网络数据包的能力,能够进行协议分析,对内容进行捜索匹配它能够检测各种不同的攻击方式,对攻击进行实时报警。在snort引擎检测数据包的过程中,snort通过自带的snort规则库中的规则同采集的数据包进行基于内容的模式匹配以此来检验入侵行为。③评估模块:该模块是对分析后的数据进行评估判断是否满足防火墙通过的要求;④防火墙:阻止访问或者通过访问行为,其中数据采集模块与数据分析模块对接,数据分析模块与评估模块对接,评估模块与防火墙对接。
进一步地,所述的防火墙和数据分析模块还有记录先前的告警或通过行为的作用,防火墙将该记录反馈给数据分析模块,当该行为再次到达数据分析模块时,数据分析模块可以直接根据先前纪录作出通过或拒绝访问的判断。
进一步地,所述的安全防护装置可应用于工控系统外部对内部的访问监控,所述的数据采集模块部署在监控主机上对接于镜像端口,该镜像端口设置在路由器某空闲端口,该路由器另一端口对接外部网络并开启流量监控功能。
进一步地,所述的安全防护装置可应用于工控系统内部对外部的访问监控。
进一步地,所述的安全防护装置可应用于工控系统内部对内部的访问监控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域技术人员来讲,本发明可以有各种更改或变化。凡是在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
图1:一种工业控制系统的安全防护装置的部署架构图。
图2:一种工业控制系统的安全防护装置对于外部访问内部的监控流程图。
图3:一种工业控制系统的安全防护装置对于工控系统内部访问外部的监控图。
图4:一种工业控制系统的安全防护装置对于工控系统内部访问内部的监控图。
具体实施方式
下面将结合实施例对本发明的技术方案进行详细描述,但是下列实施例仅用于帮助理解和说明本发明,而不应视为限制本发明的范围。
实施例1 一种工业控制系统的安全防护装置
本发明采用的技术方案是设计一种全覆盖式监控和防护装置。其特征在于:如图1所示,该防护装置包括以下模块:①数据采集模块:该模块主要负责数据的采集;②数据分析模块;该模块是对访问数据的分析并记录,即承担数据分析中心的角色;该模块中嵌入snort入侵检测系统,具有很好的匹配性和可移植性。snort具有实时流量分析和日志巧网络数据包的能力,能够进行协议分析,对内容进行捜索匹配它能够检测各种不同的攻击方式,对攻击进行实时报警。在snort引擎检测数据包的过程中,snort通过自带的snort规则库中的规则同采集的数据包进行基于内容的模式匹配以此来检验入侵行为。③评估模块:该模块是对分析后的数据进行评估判断是否满足防火墙通过的要求;④防火墙:阻止访问或者通过访问行为,其中数据采集模块与数据分析模块对接,数据分析模块与评估模块对接,评估模块与防火墙对接。其中所述的防火墙和数据分析模块还有记录先前的告警或通过行为的作用,防火墙将该记录反馈给数据分析模块,当该行为再次到达数据分析模块时,数据分析模块可以直接根据先前纪录作出通过或拒绝访问的判断。其中所述的安全防护装置可应用于工控系统外部对内部的访问监控,所述的数据采集模块部署在监控主机上对接于镜像端口,该镜像端口设置在路由器某空闲端口,该路由器另一端口对接外部网络并开启流量监控功能。其中所述的安全防护装置可应用于工控系统内部对外部的访问监控。其中所述的安全防护装置可应用于工控系统内部对内部的访问监控。
实施例2 一种工业控制系统的安全防护装置的使用方法
本发明所提供的一种工业控制系统的安全防护装置的使用方法包括如下步骤:当外网数据流量经高级路由器进入局域网络内部或者内网数据流量经高级路由器进入外网时,采用旁路侦听的方式实现业务数据捕获与过滤,优点是对信息系统的正常运行几乎无影响,同时管理效果也很优异。具体步骤是,首先配置高级路由器,将流经其的数据复制到镜像口;其次,使用网线连接镜像口与监控主机;第三,在监控主机部署数据包采集模块。模块采用免费、公共的WinPcap(Windows Packet Capture)开发包,它为Windows应用程序提供了访问网络底层数据的能力。
基于内容过滤的防火墙在配置时可限制特殊流量来源的数据包流经受保护的端口,不让其进入保护内网中来,实现过滤功能并达到安全保护的目的。当某些流量通过其接口时,通过在基于内容过滤防火墙上进行配置,根据其服务器的类型、或者收费需求等任何可能的条件,对数据包进行合适的筛选以及过滤。A C L是基于内容过滤防火墙使用外来控制流,量的一个过滤列表,它起到了筛选的作用。采用更改设定不同需求的过滤条件,当流量流经防火墙接口时,防火墙自动读取筛选列表,然后根据列表的过滤条件,阻止符合列表中罗列的条目的网络内容进人内部网络,而不符合条件的数据包则被拒绝在外部网络之外,从而保证了只有用户信赖的流量能流进入工控系统。对于内部访问外部来说,使用访问控制表来限制和过滤内部网络中的主机对受限的各个节点的分析,这样就可以直接的限制内部网络的用户将机密信息泄露给外部网络用户。在安全列表中根据信息包中保存的端口号、源/目的IP地址等设置策略进行筛选和过滤。策略判断的方向性使用in的时候判断的是源地址是否为VLAN内的地址,out的时候判断源地址是否为VLAN内的地址。例如,当使用in时是判断某一数据包流入防火墙端口时该信息时,该信息是否可以流入内部网络,即:外部访问流量要进入内部的情况。反之亦然。
外部对内部的访问监控:
如图1中所示的对外部分,当外部发起对工控系统的访问时,访问行为会通过外部网络与内部网络之间的路由器,进而通过防火墙。在对接外部网络的路由器端口开启流控功能,并在路由器某空闲端口设置该端口镜像,镜像端口对接数据采集模块,该模块采集并记录所有进入工控系统的流量行为。数据采集模块对接数据分析模块,完成采集数据的上报,同时数据分析模块备份了防火墙策略。当某一用户访问系统内部相关资源时,首先必须要通过路由器。进入路由器后,由于预先在路由上设置了镜像,此时外部访问的行为就会被镜像进入数据采集模块,采集模块将数据转发给数据分析模块,数据分析模块会对这些流量行为进行严格分析比对,最后给出评估报告,系统会根据评估报告给出告警和正常的反馈。如果数据分析模块分析到是一些非法行为,或者不确定行为时,系统就会做出报警反应;如果是正常的访问流程,系统就会做出正常的反应。告警或正常的反映报告会以邮件或者大屏监控的方式告知系统安全维护人员。对于正常的用户行为,流量通过防火墙时匹配相关策略并顺利通过;对于告警行为利用预先设置的防火墙策略进行隔离,需根据告警内容人工深度分析,进而决定是否修订防火墙策略。如果通过后,数据分析模块将外部访问数据传递给内部服务器。每次的访问行为都会在数据分析模块进行存储,以便下次出现同样的访问行为时,直接做出判断,并为修正防火墙策略提供依据,同时可以极大地提高外部的访问效率,提高业务量的办理。
具体如如图2所示外部访问者通过互联网访问内部时,在路由器上镜像,也就是进行数据采集,紧接着对访问行为进行分析,给出评估报告,评估报告将结果反馈给防火墙,如果评估报告的结果是告警,防火墙就立即阻止该行为,其访问行为又回到了开始。如果评估报告给出的是正常的信号,该访问行为就会顺利通过防火墙,进入到内部服务器。该行为被防火墙记录并反馈给数据分析模块,当该行为再次访问内部服务器时,经过前几步到达数据分析模块时,数据分析模块就会直接与之前的记录进行比对,如果之前被拒绝了,该访问者就直接回到了开始;如果之前通过了,那么该行为就直接进入到内部服务器。
内部对外部的访问监控:
如图1中所示的内部对外部部分,此步的主要目的是防止内部通过外网泄密。当内部进入系统对外部外部进行操作时,首先每一台终端必须要先通过数据采集模块,采集模块将数据转发给数据分析模块,通过数据分析模块的沙箱对这些流量行为进行严格分析,最后给出评估报告,系统会根据评估报告给出告警和正常的反馈。如果数据分析模块分析到是一些非法行为,或者不确定行为时,尤其是设及内部的机密文件等,系统及时拦截并做出报警反应;如果是正常的访问流程,系统就会做出正常的反应。此时,评估报告将信息传送给防火墙,防火墙根据评估报告的结果,在预先设置的防火墙策略上,找到合适的策略,进行拦截或者让外部访问者顺利通过。每次的访问行为都会在数据分析模块进行存储,以防下次出现同样的访问行为时,直接做出判断,能够极大地提高外部的访问效率,提高业务量的办理。
具体如如图3所示内部访问者通过互联网访问外部时,首先进行数据采集,紧接着对访问行为进行分析,给出评估报告,评估报告将结果反馈给防火墙,如果评估报告的结果是告警,防火墙就立即阻止该行为,其访问行为又回到了开始。如果评估报告给出的是正常的信号,该访问行为就会顺利通过防火墙,通过路由器进入到互联网。该行为被防火墙记录并反馈给数据分析模块,当该行为再次访问外部服务器时,经过前几步到达数据分析模块时,数据模块就会直接与之前的记录进行比对,如果之前被拒绝了,该访问者就直接回到了开始;如果之前通过了,那么该行为就直接进入到互联网。
内部对内部的访问监控:
如图1中所示的内部对内部部分,此步的主要目的是防止外部人员通过某种手段盗窃了内部员工的账号,通过外网泄密或者乘机攻击工控系统。当内部员工进入系统内部进行操作时,首先每一台终端必须要先通过数据采集模块,采集模块将数据转发给数据分析模块,通过数据分析模块对这些流量行为进行严格分析,最后给出评估报告,系统会根据评估报告给出告警和正常的反馈。如果数据分析模块分析到是一些非法行为,或者不确定行为时,尤其是设及内部的机密文件等,系统及时拦截并做出报警反应;如果是正常的访问流程,系统就会做出正常的反应。此时,评估报告将信息传送给防火墙,防火墙根据评估报告的结果,在预先设置的防火墙策略上,找到合适的策略,进行拦截或者让外部访问者顺利通过。当防火墙同意通过后,此时数据分析模块将内部访问数据传送给内部服务器。每次的访问行为都会在数据分析模块进行存储,以防下次出现同样的访问行为时,直接做出判断,能够极大地提高外部的访问效率,提高业务量的办理。该模块中嵌入snort入侵检测系统,具有很好的匹配性和可移植性。snort具有实时流量分析和日志巧网络数据包的能力,能够进行协议分析,对内容进行捜索匹配它能够检测各种不同的攻击方式,对攻击进行实时报警。在snort引擎检测数据包的过程中,snort通过自带的snort规则库中的规则同捕获的数据包进行基于内容的模式匹配以此来检验入侵行为。
具体如如图4所示内部访问者访问内部时,首先进行数据采集,紧接着对访问行为进行分析,给出评估报告,评估报告将结果反馈给防火墙,如果评估报告的结果是告警,防火墙就立即阻止该行为,其访问行为又回到了开始。如果评估报告给出的是正常的信号,该访问行为就会顺利通过防火墙,进入到内部服务器。该行为被防火墙记录并反馈给数据分析模块,当该行为再次访问内部服务器时,经过前几步到达数据分析模块时,数据分析模块就会直接与之前的记录进行比对,如果之前被拒绝了,该访问者就直接回到了开始;如果之前通过了,那么该行为就直接进入内部服务器。
Claims (8)
1.一种工业控制系统的安全防护装置,其特征在于,该防护装置包括以下模块:①数据采集模块:该模块主要负责数据的采集;②数据分析模块:该模块是对访问数据的分析并记录,即承担数据分析中心的角色;③评估模块:该模块是对分析后的数据进行评估判断是否满足防火墙通过的要求;④防火墙:阻止访问或者通过访问行为,其中所述的数据采集模块与数据分析模块对接,数据分析模块与评估模块对接,评估模块与防火墙对接;
该安全防护装置采用企业内部对外部的访问监控方法为:当内部进入系统对外部进行操作时,首先每一台终端必须要先通过数据采集模块,采集模块将数据转发给数据分析模块,通过数据分析模块的沙箱对这些流量行为进行严格分析,最后给出评估报告,系统会根据评估报告给出告警和正常的反馈;如果数据分析模块分析到是一些非法行为,或者不确定行为时,尤其是设及内部的机密文件等,系统及时拦截并做出报警反应;如果是正常的访问流程,系统就会做出正常的反应;此时,评估报告将信息传送给防火墙,防火墙根据评估报告的结果,在预先设置的防火墙策略上,找到合适的策略,进行拦截或者让外部访问者顺利通过;每次的访问行为都会在数据分析模块进行存储,下次出现同样的访问行为时,直接做出判断;
该安全防护装置采用企业内部对内部的访问监控方法为当内部员工进入系统内部进行操作时,首先每一台终端必须要先通过数据采集模块,采集模块将数据转发给数据分析模块,通过数据分析模块对这些流量行为进行严格分析,最后给出评估报告,系统会根据评估报告给出告警和正常的反馈;如果数据分析模块分析到是一些非法行为,或者不确定行为时,尤其是设及内部的机密文件等,系统及时拦截并做出报警反应;如果是正常的访问流程,系统就会做出正常的反应;此时,评估报告将信息传送给防火墙,防火墙根据评估报告的结果,在预先设置的防火墙策略上,找到合适的策略,进行拦截或者让外部访问者顺利通过;当防火墙同意通过后,此时数据分析模块将内部访问数据传送给内部服务器;每次的访问行为都会在数据分析模块进行存储,下次出现同样的访问行为时,直接做出判断。
2.如权利要求1所述的一种工业控制系统的安全防护装置,其特征在于,
所述的防火墙和数据分析模块还有记录先前的告警或通过行为的作用,防火墙将该记录反馈给数据分析模块,当该行为再次到达数据分析模块时,数据分析模块可以直接根据先前纪录作出通过或拒绝访问的判断。
3.如权利要求1所述的一种工业控制系统的安全防护装置,其特征在于,
所述的安全防护装置可应用于工控系统外部对内部的访问监控,所述的数据采集模块部署在监控主机上对接于镜像端口,该镜像端口设置在路由器某空闲端口,该路由器另一端口对接外部网络并开启流量监控功能。
4.如权利要求1所述的一种工业控制系统的安全防护装置,其特征在于,
所述的安全防护装置可应用于工控系统内部对外部的访问监控。
5.如权利要求1所述的一种工业控制系统的安全防护装置,其特征在于,
所述的安全防护装置可应用于工控系统内部对内部的访问监控。
6.如权利要求1所述的一种工业控制系统的安全防护装置,其特征在于,
数据分析模块中嵌入snort入侵检测系统,具有实时流量分析和日志巧网络数据包的能力,能够进行协议分析,对内容进行捜索匹配它能够检测各种不同的攻击方式,对攻击进行实时报警。
7.如权利要求1所述的一种工业控制系统的安全防护装置,其特征在于,
该安全防护装置采用企业外部对内部的访问时监控方法为:当外部发起对工控系统的访问时,访问行为会通过外部网络与内部网络之间的路由器,进而通过防火墙;在对接外部网络的路由器端口开启流控功能,并在路由器某空闲端口设置该端口镜像,镜像端口对接数据采集模块,该模块采集并记录所有进入工控系统的流量行为;数据采集模块对接数据分析模块,完成采集数据的上报,同时数据分析模块备份了防火墙策略;当某一用户访问系统内部相关资源时,首先必须要通过路由器;进入路由器后,由于预先在路由上设置了镜像,此时外部访问的行为就会被镜像进入数据采集模块,采集模块将数据转发给数据分析模块,数据分析模块会对这些流量行为进行严格分析比对,最后给出评估报告,系统会根据评估报告给出告警和正常的反馈;如果数据分析模块分析到是一些非法行为,或者不确定行为时,系统就会做出报警反应;如果是正常的访问流程,系统就会做出正常的反应;告警或正常的反映报告会以邮件或者大屏监控的方式告知系统安全维护人员;对于正常的用户行为,流量通过防火墙时匹配相关策略并顺利通过;对于告警行为利用预先设置的防火墙策略进行隔离,需根据告警内容人工深度分析,进而决定是否修订防火墙策略;如果通过后,数据分析模块将外部访问数据传递给内部服务器;每次的访问行为都会在数据分析模块进行存储,以便下次出现同样的访问行为时,直接做出判断,并为修正防火墙策略提供依据。
8.一种基于权利要求1-7所述的一种工业控制系统的安全防护装置的使用方法,其特征在于,包括如下步骤:
一、配置高级路由器,将流经其的数据复制到镜像口;
二、使用网线连接镜像口与监控主机;
三、在监控主机部署数据包采集模块。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710903557.XA CN107733878B (zh) | 2017-09-29 | 2017-09-29 | 一种工业控制系统的安全防护装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710903557.XA CN107733878B (zh) | 2017-09-29 | 2017-09-29 | 一种工业控制系统的安全防护装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107733878A CN107733878A (zh) | 2018-02-23 |
CN107733878B true CN107733878B (zh) | 2023-06-27 |
Family
ID=61208989
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710903557.XA Active CN107733878B (zh) | 2017-09-29 | 2017-09-29 | 一种工业控制系统的安全防护装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107733878B (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109495508B (zh) * | 2018-12-26 | 2021-07-13 | 成都科来网络技术有限公司 | 基于服务访问数据的防火墙配置方法 |
CN110769067B (zh) * | 2019-10-30 | 2020-08-04 | 任子行网络技术股份有限公司 | 一种基于sd-wan的工业互联网安全监管系统及方法 |
CN110782370B (zh) * | 2019-10-31 | 2023-06-06 | 国网重庆市电力公司北碚供电分公司 | 一种电力调度数据网综合运维管理平台 |
CN111478925B (zh) * | 2020-05-21 | 2022-12-06 | 四川英得赛克科技有限公司 | 应用于工业控制环境的端口扫描检测方法、系统 |
CN112688938B (zh) * | 2020-12-22 | 2023-09-29 | 太原微木智能装备有限公司 | 基于攻防模式的网络性能测量系统及方法 |
CN113311805B (zh) * | 2021-05-21 | 2022-07-05 | 上海振华重工(集团)股份有限公司 | 面向自动化港口桥吊作业系统的零信任网络访问控制方法 |
CN114137934A (zh) * | 2021-11-23 | 2022-03-04 | 国网江西省电力有限公司电力科学研究院 | 一种具有入侵检测功能的工业控制系统及检测方法 |
CN115150167B (zh) * | 2022-06-30 | 2024-03-12 | 北京天融信网络安全技术有限公司 | 同步控制的方法、装置、电子设备及计算机可读存储介质 |
CN115174219B (zh) * | 2022-07-06 | 2024-04-19 | 哈尔滨工业大学(威海) | 一种可适配多种工业防火墙的管理系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
CN104917776A (zh) * | 2015-06-23 | 2015-09-16 | 北京威努特技术有限公司 | 一种工控网络安全防护设备与方法 |
CN105245403A (zh) * | 2015-10-27 | 2016-01-13 | 国网智能电网研究院 | 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 |
CN106230857A (zh) * | 2016-08-30 | 2016-12-14 | 上海新华控制技术(集团)有限公司 | 一种面向工控系统的主动式漏洞检测系统和检测方法 |
CN106530137A (zh) * | 2016-12-01 | 2017-03-22 | 国网山东省电力公司滨州供电公司 | 一种远程自动获取电力数据信息的运行平台 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8095683B2 (en) * | 2006-03-01 | 2012-01-10 | Cisco Technology, Inc. | Method and system for mirroring dropped packets |
-
2017
- 2017-09-29 CN CN201710903557.XA patent/CN107733878B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103490895A (zh) * | 2013-09-12 | 2014-01-01 | 北京斯庄格科技有限公司 | 一种应用国密算法的工业控制身份认证方法及装置 |
CN104917776A (zh) * | 2015-06-23 | 2015-09-16 | 北京威努特技术有限公司 | 一种工控网络安全防护设备与方法 |
CN105245403A (zh) * | 2015-10-27 | 2016-01-13 | 国网智能电网研究院 | 一种基于模糊测试的电网工控协议漏洞挖掘系统和方法 |
CN106230857A (zh) * | 2016-08-30 | 2016-12-14 | 上海新华控制技术(集团)有限公司 | 一种面向工控系统的主动式漏洞检测系统和检测方法 |
CN106530137A (zh) * | 2016-12-01 | 2017-03-22 | 国网山东省电力公司滨州供电公司 | 一种远程自动获取电力数据信息的运行平台 |
Non-Patent Citations (2)
Title |
---|
"面向工业控制网络的安全监管方案";陈晓兵、陈凯、徐震、王利明;《信息网络安全》;20160710(第07期);全文 * |
匡恩网络,工控网络安全立体化之道;陈庶樵等;《信息安全研究》;20170805(第08期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN107733878A (zh) | 2018-02-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107733878B (zh) | 一种工业控制系统的安全防护装置 | |
US7398389B2 (en) | Kernel-based network security infrastructure | |
US20080098476A1 (en) | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks | |
US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
JP2008508805A (ja) | 電子トラフィックを特徴づけ、管理するシステムおよび方法 | |
Pradhan et al. | Intrusion detection system (IDS) and their types | |
CN108712425A (zh) | 一种面向工业控制系统网络安全威胁事件的分析监管方法 | |
Sharifi et al. | An overview of intrusion detection and prevention systems (IDPS) and security issues | |
Rao et al. | Intrusion detection and prevention systems | |
CN111464551A (zh) | 一种网络安全分析系统 | |
Gao et al. | Research on the main threat and prevention technology of computer network security | |
KR101006372B1 (ko) | 유해 트래픽 격리 시스템 및 방법 | |
Jaiganesh et al. | An efficient algorithm for network intrusion detection system | |
CN112073371A (zh) | 一种针对弱监管路由设备的恶意行为检测方法 | |
KR20140078329A (ko) | 내부망 타겟 공격 대응 장치 및 방법 | |
Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
Singh et al. | A review on intrusion detection system | |
Bartman et al. | An introduction to applying network intrusion detection for industrial control systems | |
Agrawal et al. | Proposed multi-layers intrusion detection system (MLIDS) model | |
Hussain | Use of Firewall and Ids To Detect and Prevent Network Attacks | |
CN114844667B (zh) | 一种基于网络设备智能安全分析管理决策系统与方法 | |
CN113191917B (zh) | 一种基于径向基函数算法的电厂工控系统网络安全威胁分类方法 | |
Frantti et al. | Security Controls for Smart Buildings with Shared Space | |
Karthikeyan et al. | Network Intrusion Detection System Based on Packet Filters | |
Khan et al. | Comparative study of intrusion detection system and its recovery mechanism |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |